为了满足各位对一切加以分析的狂热信息处理的殷切期待，今天E安全为大家准备了一些非常有趣的数据，其内容则主要体现了企业如何看待并使用情报来帮助自身检测、缓解、预测、准备并应对各类网络安全威胁。

就目前而言，大部分企业都认为自己应当积极参与各类网络情报收集活动，并以直接且互为补充的方式将其与战术性网络防御体系对接在一起。更重要的是，我们发现很多企业都开始意识到网络安全威胁并非单纯的技术问题，而同时也是一项真正的业务问题——因为其会给业务造成实实在在的影响。

这些企业正在寻求更多有价值信息，而不再满足于获得一大堆威胁情报反馈或者是单一现有SIEM工具；而对于众多企业以及有竞争力的情报工作相关团队而言，强大的网络情报获取及处理能力绝不仅仅取决于技术本身。

从传统角度讲，战术与技术的“纵深防御”方案（以及无数与之相关的传统威胁信息收集机制）确实构成了企业网络防御体系当中庞大而重要的一部分，但它们只能算是半套解决方案——其往往专注于内部、效率低下、方式混乱、缺乏准确的优先排序与分类机制，同时太过敏感甚至让人有些无所适从。

换句话来说，它们缺少……智能元素。这就像是拥有一支装备精良但却无法与军官取得联系的军队。我们只知道可以利用他们保护自己的安全，但却不知道他们的敌人是谁、他们有多少兵力以及具体使用什么样的武器。

而更有趣的是，虽然大多数企业都意识到自己绝对有必要寻求更为强大的网络情报收集功能，但其中相当一部分却从来没有为此做出过任何努力。

在多数情况下，他们往往被下面这个常见问题所难倒：

我们到底是该以内部方式实现，还是通过外包找一家信息安全的供应商？

而这个问题对于网络情报工作而言可谓至关重要，具体原因包括：

• 实现成本可能相当高昂

• 要求配合技术水平高超的工作人员

• 必须拥有明确的沟通方式并配合标准化的讨论与分析数据提供机制

• 需要通过专门的流程与工具加以执行

• 还有更多……

除此之外，即使大家已经满足了上述全部条件，从着手进行到开花结果也要经历相当一段时间，而我们还需要在此期间不断调整并引导其发展方向，从而将各类新型威胁囊括进去。

内部实现方案

优势

• 访问:没人比我们自己更了解自己，因此作为网络情报收集工作的起点，我们自己最适合负责审视每一个相关业务区块与每一种需要加以捍卫的利益。而在另一方面，我们在情报收集工作当中获得的全部信息都仍然驻留在企业环境内部，这不仅能够保障机密情报不致外泄，同时也能使我们更方便地对其进行分析并用于指导其它业务。

  
  

• 优先排序:在情报方案当中，“精卫填海”式的尝试永远不可能起效，因此我们必须要集中力量投入到最为关键的方向中去。以内部方式进行情报收集与分析能够保证整个流程与当前热点以及刚刚显现出端倪的趋势相契合，从而快速引起我们的注意。

  
  

• 便捷性:收集、评估与共享信息，再加上将所收集数据整合至现有SIEM、决策支持系统、威胁情报平台（简称TIP）以及其它方案当中能够大大降低我们利用相关工作成果的难度。

  
  

缺点

• 成本:即使是对于那些网络防御预算比较充足的企业而言，在内部建立强大的情报体系以实现网络威胁规划的作法也会令财务大为吃紧，因为我们需要尽可能从技术、人力以及组织结构等层面对其进行支持。简而言之，大家需要太多与之相关的辅助手段，包括商业支持应用、分析工具、大量数据与访问操作、数据仓库、专业分析师以及其它各种形式的高成本资源。

  
  

• 时间:我们的立项目标在于对多个层面的网络威胁数据进行收集，同时着眼于整个企业评估自身风险状况信息，并需要从暗网等规模庞大但又影响深远的位置提取特定数据，这一切都需要耗费大量时间。换言之，内部建立网络情报即服务体系必然是一项长期性任务。

  
  

• 人才:要想获得行之有效的情报收集与分析手段，必须要有具备相关专业知识的人才加以配合。然而就目前而言，企业其实很难找到适合这类岗位的新型角色，亦无法调整现有资源以满足需求。事实上，无论采取哪一种办法，想在中短期之内实现实效性都是一项几乎不可能完成的任务。

  
  

• 数据:要想获得我们支持起强大情报收集与分析项目所需要的数据，大家必须要对一切现有数据源加以审视——从病毒到恶意软件再到欺诈、盗版等商业威胁，而这显然不是一项轻松的工作。

  
  

外包实现方案

优势

• 人才:专门从事这方面工作的服务供应商往往专业水平较高，他们会招聘、雇用并培训熟知各类智能化情报收集机制的分析师与研究人员。

  
  

• 数据:在多数情况下，情报与分析服务供应商能够顺利访问丰富的数据来源以及各种各样的汇总数据集。而即使他们自身没有相关资源，往往也可以从合作伙伴手中获取。

  
  

• 时间:一般来讲，一旦“学习曲线”的协调周期一过，服务供应商给出的服务水平协议与服务质量承诺就能够发挥作用，其起效速度要远远高于内部方案。

  
  

缺点

• 成本:即使是在选择外包实现方式的情况下，成本也是个值得关注的大问题。大多数服务供应商的开价相当惊人，但他们往往也能够凭借着自己的专业性、专注性以及丰富经验极大加快整个实施过程。

  
  

• 访问:与将一切控制在内部环境下不同，在同一家或者多家服务供应商协作时，我们往往只能被动接受对方给出的条件。不同服务供应商的专业性水平也会存在差异，这意味着我们花钱买回来的有可能只是一些缺乏一致性、完整性以及时效性的糟糕信息。另外，在大多数情况下我们无法利用任何自助性服务机制，也无法24/7全天候自由访问数据或者分析结果。

  
  

• 便捷性:获取所产生情报并将其在企业内共享的能力永远会受到某些已知或者未知因素的干扰。将外部数据与现有流程及环境加结合也永远会带来诸多挑战——无论在内部还是外包实现方案当中皆是如此。

  
  

• 优先排序:没有任何一家服务供应商会像我们自己那样重视这项工作。无论是关注安全威胁还是应对新型挑战，供应商与我们自身总会在衡量紧迫性与重要性方面存在差异。而从当下的网络安全威胁环境来看，响应时间已经成为最为关键的核心关注因素。

与云计算类似，“一切皆服务（XaaS）”这类方案已经顺利进入了软件与数据交付领域，而在下一个十年当中其甚至有可能渗透到企业所运行的情报收集与分析项目当中，并最终涵盖网络、运营、竞争关系与物理安全等层面。不过就目前来讲，到底是自行构建还是选择外包确实是个两难选择，而网络安全领域中尚未完全成熟的情报相关功能也意味着我们在其演进过程当中必然还要承受诸多不尽人意的缺陷。

分享即是关怀……

转载请注明来源 “E安全”

欢迎大家访问E安全门户站点www.easyaq.com

请关注 E安全 微信公众号

点击“查看原文”获取本文的相关链接